Nouveauté Gmail : « C’est quoi ces cadenas sur mes e-mails ? »

Ce jeudi matin, notre assistante de rédaction, Catherine, s’approche du bureau d’Andréa, docteure ès sécurité informatique :

« Andréa, c’est quoi ce cadenas sur mes e-mails ? Est-ce que ça veut dire que quelqu’un peut les lire ? »

Et d’ajouter :

« Depuis que je regarde “Les Experts : Cyber”, j’ai peur de tout. »

Catherine fait référence au pictogramme que les utilisateurs de Gmail ont vu apparaître depuis quelques heures en haut à gauche de leur e-mails. Un petit cadenas rouge, ouvert aux quatre vents :

Capture d’un message sur ma boîte G-mail

Sympa, Andréa la rassure promptement :

« Oui, Catherine, tout le monde peut lire tes e-mails. »

Tuyaux transparents, restons prudents

Ce petit cadenas Catherine, c’est l’une des dernières fonctionnalités de Google pour te dire, en somme :

« Fais gaffe si l’e-mail que tu as reçu contient des choses sensibles, son envoi n’est pas sécurisé. »

Clés et cadenas anciens - Boldizsár Komlós/Wikimedia Commons/CC

Pour dire les choses avec des mots techniques, Google te signifie ainsi que ton e-mail a été envoyé via un service qui ne protège pas son trafic par le chiffrement TLS (Transport Layer Security), un protocole de sécurisation. Héhé.

Sache, Catherine, qu’Internet est au fond un vulgaire réseau de plomberie. Pour arriver jusqu’à la boîte aux lettres de son destinataire, un courrier électronique navigue par des tuyaux et des serveurs. Comme l’expliquait très bien Jef Mathiot sur Rue89, l’envoi d’un e-mail sans aucun protocole sécurisé s’apparente à la circulation d’une missive dans des tuyaux transparents. N’importe quel indiscret peut jeter un œil.

C’est pourquoi Axelle Lemaire, secrétaire d’Etat au Numérique, a demandé en octobre aux fournisseurs d’accès internet (FAI) de s’engager à systématiquement chiffrer les données entre les services de messagerie.

Chiffrer les données, ça revient à recouvrir de peinture noire les tuyaux transportant nos e-mails. En signant la charte d’Axelle Lemaire, les FAI promettent de sécuriser le transport des e-mails en utilisant un protocole TLS.

Le cadenas rouge

Revenons aux petits cadenas rouge. Si Google applique le protocole TLS, ce n’est pas forcément le cas du fournisseur de messagerie du correspondant. C’est ce que veut indiquer Google avec son pictogramme : méfiez-vous, le concurrent par qui va passer votre message n’est pas réglo (oh les balances). Toujours plus loin dans la délation, ils vous proposent même de regarder, région par région, les acteurs qui font n’importe quoi avec la sécurité (par exemple, en Europe, Free).

Le pourcentage de messages chiffrés pour les premiers domaines en termes de volume d’e-mails vers et depuis Gmail en Europe, selon Google - Capture Google

En fait, même si une partie de tes tuyaux sont peints en noir, un indiscret balaise peut toujours lire tes mails, Catherine. C’est le message que veut te faire passer Andréa (qui aime nous faire peur) quand elle dit « tout le monde peut lire tes e-mails ».

D’ailleurs, c’est aussi pour ça que Jef Mathiot insiste pour dire que même si tous les opérateurs français venaient à peinturlurer leur tuyauterie en noir, il resterait une faille : l’e-mail. Qui demeure, lui, dans la plupart des cas, « nu comme un ver » :

« A chaque arrivée sur un serveur, il [réapparaît] dans le plus simple appareil, nu comme au premier jour. »

Du coup, pour l’envoi de données ou infos sensibles, le must-have reste l’e-mail chiffré (ou le pli anonyme).